[데이터넷] 복권운영사, 커피 체인점, 이커머스 서비스 등 많은 기업과 기관이 크리덴셜 스터핑 공격을 당하고 있다. 크리덴셜 스터핑은 미리 입수한 개인정보를 이용해 웹사이트에 로그인하는 공격으로, 사이버 범죄자는 무단 결제, 쿠폰 사용, 보이스피싱 등의 피해를 입힌다. 공격자는 로그인 성공 후 금융정보·의료정보·전자상거래정보 등 고급 정보를 추가 탈취해 수익을 높이고, 중요 기업·기관 침투를 위한 정보로도 사용한다.

크리덴셜 스터핑과 같은 계정탈취 공격(ATO)은 대부분 자동화 봇을 이용한다. 공격자는 미리 입수한 계정정보를 봇을 이용해 웹사이트에 대입하면서 로그인을 시도한다. ‘봇’은 반복되는 단순 업무를 자동화한 소프트웨어로, 검색엔진, 양식 작성, 웹사이트 성능 모니터링, 취약점 탐색, 데이터 스크래핑 등 다양한 분야에 사용된다. 이를 공격자가 악용하면서 계정탈취, 디도스 공격을 일으킨다. 목표 시스템에 침투할 수 있는 취약점을 찾아내고, 피싱 사이트 제작을 위한 정보수집에도 활용되고 있다.

또 경쟁사의 광고 배너에 대규모 클릭을 유도해 막대한 광고비용을 지출하게 하거나, 마케팅 결과를 왜곡시키고 잘못된 의사결정을 하도록 유도할 수 있다.

회피형 악성 봇 66.6%

공격에 사용되는 악성 봇의 비중이 크게 늘어나고 있다. 임퍼바의 ‘2023 악성 봇 리포트’에 따르면 지난해 인터넷 트래픽의 거의 절반에 이르는 47.4%가 봇 트래픽이며, 전체 트래픽 중 악성 봇이 30.2%로 사상 최고치를 기록했고, 악성 봇 중에서도 지능형 악성 봇이 51.2%로 크게 늘었다. 임퍼바가 악성 봇 추적을 시작한 2013년에는 전체 트래픽의 23.6%가 봇이었으며, 정상 봇이 19.4%였다.

지능형 악성 봇은 악성 봇 탐지 기술을 우회하는 기능을 가진 봇이다. OWASP에서 꼽은 자동화된 위협 21가지 중 계정 수집과 탈취, 가짜 계정 생성, 디지털 광고사기, 캡챠 우회, 카드 해킹, 인벤토리 거부 공격 등이 지능형 악성 봇을 이용한다. ‘일반’ 악성 봇 중에서도 공격 행위를 숨기는 기능을 가진 봇이 있는데, 임퍼바는 이러한 봇과 지능형 악성 봇을 통칭하는 ‘회피형 악성 봇’이 66.6%에 이른다고 분석했다.

지능형 악성 봇으로 인한 피해가 가장 많이 발생하는 산업은 법률·정부 기관으로, 지능형 봇의 89%가 이 분야를 노렸다. 다음으로는 여행(63.4), 통신·ISP(60.5%) 순이었다. 악성 봇 전체로 확장하면 게임 분야가 58.7%, 통신·ISP가 47.7%였다.

API 타깃 공격에도 악성 봇이 이용된다. 지난해 API 타깃 공격이 전체 웹 애플리케이션 공격의 절반 이상을 차지한 것으로 집계되는데, API 취약점이나 논리적인 설계 결함을 봇이 찾아내 공격에 이용한다.

임퍼바 조사에서는 API 타깃 공격의 17%가 비즈니스 로직을 악용한 악성 봇이었으며, 기타 유형의 자동화된 위협이 21%였다. 비즈니스 로직 공격은 애플리케이션 설계와 구현 상의 결함을 표적으로 하는 것으로, 공격자가 합법적으로 기능을 조작하고, 민감 데이터 도용, 불법적인 사용자 계정정보 액세스 등의 활동을 전개할 수 있다.

정상 활동으로 위장하는 회피형 악성 봇

회피형 악성 봇은 봇 방어 기술의 진보에 따라 변하기 때문에 탐지가 쉽지 않다. 합법적인 비즈니스 로직을 악용하며, 실제 사람의 접속과 동일한 환경과 패턴으로 위장하면서 방어 기술을 우회한다.

또 정상적인 활동으로 위장해 공격 행위를 하는 봇으로 인해 악성 봇을 탐지하기 더 어려워진다. 스캘핑(Scalping) 봇의 예를 들어보면, 이 봇은 상품을 대량으로 구입하고 상품이 도착하자마자 빠른 시간에 결제를 완료하는 과정을 자동화한다. 정상적인 상품 주문, 결제 과정을 거치기 때문에 악성 행위라고 단정짓기도 어렵다.

스캘핑 봇을 이용하면 공급이 제한된 상품을 구입해 높은 가격에 재판매해 수익을 창출할 수 있으며, 암호화폐 거래에도 사용돼 수익성을 높이기도 한다. 그러나 스캘핑 봇은 공정한 거래를 방해하기 때문에 불법적인 행위로 간주되는 경우가 많다.

인벤토리 거부(Denial of Inventory) 공격을 위한 호더(Hoarder) 봇도 이와 유사하다. 상품의 재고가 소진될 때까지 며칠 동안 동일 품목을 장바구니에 추가해 판매를 방해한다. 고급 상품, 한정판 상품을 비축해 소비자가 구입하지 못하게 하면서 상품의 가격을 높이도록 하거나 판매자에게 큰 피해를 입힌다.

악성 봇 탐지 기술 우회하는 지능형 봇

악성 봇은 탐지 기술의 진화에 맞춰 고도화되고 있다. 악성 봇 차단 기술은 봇에 의한 접속 여부를 확인하기 위해 접속을 요청하는 기기에 정상 사용자 환경과 같은 OS·애플리케이션이 설치돼 있는지 살펴보며, 마우스와 키보드 움직임이 있는지, 기계와 같은 자동화된 움직임이 있는지 살펴본다.

지능형 악성 봇은 이를 회피하기 위해 실제 사용자와 동일한 OS·애플리케이션 환경인 것처럼 가장하고, 풀 브라우징 방식을 이용해 정상적인 실행인 것처럼 꾸민다. 마우스·키보드 움직임도 기계처럼 규칙적으로 움직이지 않고 불규칙하게 행동해 사람의 동작인 것처럼 가장한다.

악성 봇 탐지 기술은 AI/ML을 이용해 기계가 만드는 불규칙한 행동에서 규칙적인 패턴을 식별해 악성 봇을 알아낸다. 그러자 공격자는 AI/ML 식별 기술을 분석해 더 고도화된 회피형 악성 봇을 만들어내는 한편, 실제로 대규모 인력을 고용해 자동화된 공격을 벌이기도 한다.

사이버 범죄 조직은 높은 수익을 기대할 수 있다면 많은 시간과 비용을 투자해 공격을 진행하기 때문에 사람이 직접 투입되는 고급 공격도 진행한다.

이처럼 고도화되는 악성 봇 공격으로부터 고객을 보호하고 비즈니스를 지키기 위해서는 악성 봇 탐지 기술을 사용하는 것이 필수다. 공격자들이 집중적으로 노리는 로그인·결제 페이지에 강력한 보안을 적용하고, 웹사이트와 API, 모바일 앱 취약점을 제거하고, 프록시를 통한 접속을 통제해야 한다.

전문 보안 기술 탑재한 지능형 봇 탐지

웹·애플리케이션 보호 전문기업 임퍼바의 ‘어드밴스드 봇 프로텍션(ABP)’이 정교한 봇 차단 기술을 제공해 일반 봇부터 고도화된 회피 기술을 가진 봇까지 차단한다. 임퍼바 ABP는 웹, API, 모바일 앱 봇 공격을 모두 차단한다. 브라우저와 기기 검증, 디바이스 핑거프린트, API 요청 검증, 모바일 애플리케이션 검증 등의 기술을 이용해 사람과 봇의 접근을 정확하게 식별한다.

임퍼바 ABP는 API 공격 완화에도 탁월한 효과를 발휘한다. 한 항공사는 항공편 정보 수집을 위한 검색 API를 봇으로 스크래핑해 API 요청에 대한 50만 달러 이상의 비용을 매월 납부해야 했다. 한 온라인 은행에서는 봇을 이용한 200만 건 이상 대규모 계정탈취 시도로 온라인 사기가 발생했다. 두 사례 모두 API 비즈니스 로직을 남용한 사건으로, 임퍼바 솔루션을 도입한 후 즉시 피해를 완화할 수 있었다.

유출 정보 이용 계정탈취, 인텔리전스로 차단

임퍼바는 고도화된 ATO 공격을 막을 수 있는 ‘어카운트 테이크오버 프로텍션(임퍼바 ATO)’도 제공한다. ATO는 기존에 유출된 정보를 이용해 로그인을 시도하면서 고급 정보를 수집한다. 임퍼바 ATO는 사용자의 로그인 정보를 해시값으로 변환한 후, 위협 인텔리전스 기업의 유출된 크리덴셜 DB의 해시값과 비교한다.

동일한 해시가 발견됐다면 이는 유출된 계정을 이용한 로그인 시도라고 볼 수 있다. 이는 공격자가 탈취한 계정으로 접속하려 한 것일 수 있지만, 정상 사용자가 자신의 정보가 유출됐다는 사실을 알지 못했거나 유출 사실을 알고도 비밀번호 변경 등의 조치를 취하지 않고 로그인을 시도한 경우일 수도 있다.

임퍼바 ATO는 유출 계정을 통한 로그인 시도 사실을 서비스 기업에게 알려주며, 기업은 고객에게 유출된 정보가 로그인에 이용됐다는 사실을 통지하고, 추가 인증을 요청하거나 비밀번호 변경·MFA 설정 등의 보안 강화 안내를 보낼 수 있다. 정상 사용자의 안전한 로그인을 보장하면서 공격자의 불법 침입 시도를 막을 수 있다.

임퍼바 ABP와 ATO에는 임퍼바의 웹·애플리케이션 보안 전문기술이 내재돼 있어 오·미탐 없이 정확하게 위협에 대응할 수 있다. 온프레미스와 하이브리드, 멀티 클라우드 등 어느 환경에나 최적의 구성으로 제공될 수 있다.

하이브리드 환경 보호하는 임퍼바 웹 보안 솔루션

ABP와 ATO는 임퍼바의 웹 애플리케이션 및 API 보호 플랫폼(WAAP)을 통해서도 제공될 수 있다. 임퍼바 WAAP는 싱글 스택 아키텍처로 설계된 클라우드 기반 웹·API 보호 플랫폼이다. 디도스 방어, 지능형 봇 차단, API 보안, WAF, ATO 방어, 클라이언트 사이드 프로텍션, CDN, 애플리케이션 딜리버리 등의 기능을 단일 플랫폼에서 제공한다.

가격 경쟁력도 높아 엔터프라이즈는 물론 SMB에서도 부담 없이 사용할 수 있으며, 악성 봇 트래픽을 사전에 제거해 회선 비용 부담도 크게 줄일 수 있다.

임퍼바는 전 세계에 설치된 60여 개 글로벌 PoP을 통한 스크러빙 서비스를 제공해 고객의 주요 비즈니스를 보호한다. 임퍼바 PoP은 2023년 말 8개 PoP을 추가하며, 2024년 3월 2개 PoP을 더 설치해 전 세계 고객들이 어디서나 안전한 웹 서비스를 운영할 수 있게 한다.

또한 24×7 글로벌 데이터 분석팀을 통해 진화하는 웹 기반 공격을 실시간으로 탐지, 제어하는 완전 관리형 클라우드 보안 서비스도 제공한다.

임퍼바는 2002년 설립된 웹 보안 전문기업으로, 가트너 WAF, WAAP 분야 매직쿼드런트 9년 연속 리더로 선정됐다. 포레스터, 쿠핑어콜 등 글로벌 시장조사 기업들도 WAF, 디도스 방어, 지능형 봇 방어 시장조사 보고서에서 리더로 선정했다. 글로벌 최대 통신사 60%, 글로벌 금융 서비스 기업 70%를 포함, 150개국 6200곳 이상 고객을 보호하고 있다.